Wygląda tak:http://easycaptures.com/5257141400
W kodzie:http://wklej.to/mCwc
Proszę o dokładne sprawdzenie możliwości przeprowadzenia tego typu ataku.Pewności co do występowania błędu nie mam,bo jest trudne zweryfikowanie tego dla mnie.
prawdopodobnie XSS
(2 posts) (2 voices)-
DevTeam
Klucznikwielkie dzięki za zwrócenie uwagi. w fazie projektowania systemu nikt nie przewidział że ktoś może w tytule postu używać kodu HTML i przez to system wpuścił title z html'em. Teraz już poprawiliśmy to i funkcje strip_tags() oraz addslashes() są użyte nie tylko dla zmiennej z treścią posta ale dla titla też (przed zapytaniem zapisującym post). Title już zapisane w systemie zostały też poprawione. System prawdopodobnie jest odporny na XSS, ale jak widać nie jesteśmy w stanie przewidzieć wszystkiego dlatego feedback użytkowników jest zawsze mile widziany.
Posted 7 months ago #
Odpowiedz
You must log in to post.